21 Dez. 2023

Technische und organisatorische Maßnahmen

Diese technisch-organisatorischen Maßnahmen beziehen sich alle Standorte sowie die Forschungs- und Entwicklungseinrichtungen der CitNOW Group.

Über die CitNOW Group

Die CitNOW Group wurde gegründet, um Innovationen voranzutreiben und Händlern und Herstellern dabei zu helfen, ihren Kunden ein herausragendes Erlebnis zu bieten. Die Vision der CitNOW Group ist es, die Art und Weise, wie die Automobilwelt kommuniziert, zu verändern.

Die CitNOW Group bietet mehrere Dienstleistungen für die verschiedenen Phasen der Customer Journey. Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Seite Marken und Lösungen.

Zur CitNOW Group gehören CitNOW, CitNOW Imaging, CitNOW Triage and Appraise, Dealerdesk, Dealerweb, Quik, REALtime Communications (RTC) und Web1on1 (Handel treibend unter CitNOW Conversations). Mit über 19.500 Software-Installationen und zahlreichen Partnerschaften mit namhaften Automobilzulieferern sind wir weltweit in 82 Ländern tätig.

Zweck und Umfang

Die CitNOW Group verarbeitet Kunden- und Verbraucherdaten im Auftrag unserer Kunden aus der Automobilbranche. Die CitNOW Group respektiert die Vertraulichkeit und den Wert dieser Daten sowie das Vertrauen, das unsere Kunden in uns setzen.

Im Folgenden werden die technischen und organisatorischen Maßnahmen beschrieben, die wir zur Gewährleistung des Datenschutzes und der Datensicherheit eingeleitet haben. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten Informationen sicherzustellen. Ausführlichere Informationen über die von uns genutzten Rechenzentren finden Sie in den Links am Ende des Dokuments.

Unser Ansatz

Wir werden:

  • alle zumutbaren, angemessenen, praktischen und wirksamen Sicherheitsmaßnahmen zum Schutz unserer wesentlichen Prozesse und Systeme anwenden, um unsere Sicherheitsziele zu erreichen.
  • alle Anforderungen der Norm ISO 27001:2022 im Rahmen unseres Managementsystems zur Informationssicherheit einhalten.
  • die ISO 27002 als Rahmen zur Verwaltung aller Sicherheitsbelange nutzen.
  • unsere Sicherheitsmaßnahmen kontinuierlich überprüfen, um die Art und Weise, wie wir unsere Prozesse schützen, zu verbessern.
  • unsere Datensysteme schützen und entsprechend verwalten, um unseren vertraglichen, gesetzlichen und datenschutzrechtlichen Verpflichtungen nachkommen zu können.
  • alle geeigneten, angemessenen, praktischen und wirksamen Maßnahmen ergreifen, um Informationen an Dritte zu übermitteln, die Zugang zu diesen Informationen benötigen.
  • die Einhaltung der Datenschutz-Grundverordnung (DSGVO), der Allgemeinen Datenschutzverordnung des Vereinigten Königreichs (UK General Data Protection Regulation; UK GDPR) und der Datenschutz-Grundverordnung der EU (EU-DSGVO) durch unsere GDPR-Beauftragten innerhalb des Unternehmens sowie durch unseren unabhängigen, externen Datenschutzbeauftragten (DSB) sicherstellen.
  • den TISAX-Rahmen und entsprechende Richtlinien nutzen, um die Anforderungen an die Informationssicherheit von Verbrauchern und Behörden innerhalb der CitNOW Group zu erfüllen.
  1. Richtlinien zur Informationssicherheit
    1. Die CitNOW Group hat eine Reihe von Richtlinien zur Informationssicherheit definiert, die vom Vorstand genehmigt wurden und die den Ansatz des Unternehmens zur Verwaltung seiner Ziele im Bereich Informationssicherheit darlegen.
    2. Die Richtlinien zur Informationssicherheit sollen sicherstellen, dass den Anforderungen, die im Rahmen der Geschäftsstrategie, den Vorschriften, der Gesetzgebung, den Verträgen und aktuellen und voraussichtlichen Gefahren im Hinblick auf die Informationssicherheit bestehen, im erforderlichen Maße Rechnung getragen wird. Diese Richtlinien sind auch eine Voraussetzung für unsere Akkreditierungen nach ISO 27001, Cyber Essentials Plus und TISAX (falls zutreffend, je nach Geschäftseinheit). Die folgenden Richtlinien gelten für alle Mitarbeiter:
      • Richtlinie zur Zugangskontrolle
      • Richtlinie zur akzeptablen Nutzung
      • Richtlinie zum Änderungsmanagement
      • Richtlinie zur Klassifizierung von Informationen
      • Richtlinie zum Management von Vorfällen im Bereich Informationssicherheit
      • Richtlinie zur Übermittlung von Informationen
      • Richtlinie für Mobilgeräte und Telearbeit
      • Richtlinie zur physischen Sicherheit
      • Richtlinie für eine gesicherte Arbeitsumgebung (Clear Desk / Clear Screen)
      • System zur Passwortverwaltung
      • Kryptographie-Richtlinie
      • Personalrichtlinien, einschließlich Onboarding, Hintergrundprüfungen und Offboarding von Mitarbeitern
      • Richtlinie zur Nutzung von Internet-Browsern
    3. Darüber hinaus kann es je nach Funktion des Mitarbeiters weitere Richtlinien geben, die zwingend einzuhalten sind.
    4. Alle Richtlinien zur Informationssicherheit der CitNOW Group werden mindestens einmal jährlich oder immer dann überprüft, wenn wesentliche Änderungen vorgenommen werden, die sich unabhängig der Art der Änderung auf eine Richtlinie auswirken können (z. B. Änderung der Geschäftstätigkeit, Änderung von Gesetzen, Änderung von Technologien).
  2. Risikomanagement
    1. Die CitNOW Group verfolgt einen umfassenden und dennoch pragmatischen Ansatz zur Identifizierung, Analyse und Behandlung von Risiken sowie zur laufenden Überwachung und Überprüfung. Dies ist in unserem Dokument Risikobewertung und Methodik zum Umgang mit Risiken dargelegt. In dieser Unterlage werden Risiken in Zusammenhang mit internen und externen Problemen analysiert (unabhängig davon, ob sie auf Bedrohungen oder Chancen beruhen) und gleichzeitig der Umgang mit Risiken beschrieben, die sich aus den geltenden Rechtsvorschriften ergeben.
    2. Es gibt auch ein aktives Risikoregister, das dazu dient, die im Rahmen der Risikoanalyse ermittelten Risiken zu erfassen und zu behandeln. Das Dokument wird auch zum Nachweis der ergriffenen Maßnahmen verwendet und um Rückschlüsse auf Kontrollen und Richtlinien zu ziehen, die vom Unternehmen im Hinblick auf Risikobedrohungen und Chancen ausgewählt wurden.
  3. Organisatorisches
    1. Rollen und Verantwortlichkeiten: Die CitNOW Group hat im Rahmen der Regelungen zu Informationssicherheit und Datenschutz Schlüsselrollen und Verantwortlichkeiten identifiziert. Diese spezifischen Rollen werden entsprechend zugewiesen und kommuniziert, so dass die Informationssicherheit nicht nur effektiv verwaltet wird, sondern auch die Leistung des zur Verwaltung der Sicherheit eingesetzten Systems (Informationssicherheits-Managementsystem; ISMS) an die oberste Führungsebene kommuniziert wird.
      1. Leiter der Abteilung für Sicherheitsmaßnahmen und Risiko: Leitung und Verwaltung des ISO-Ausschusses, um die Aufrechterhaltung des ISMS und der ISO-Zulassung zu gewährleisten. Außerdem ist er für die Informationssicherheit innerhalb des Unternehmens sowie für das Risikomanagement zuständig.
      2. Manager Group Compliance und Datenschutz: Leitet das Group Compliance Team und ist für das ISMS in den Bereichen Recht, Vertragswesen und Datenschutz verantwortlich. Verantwortung für die GDPR/GSDVO-Praktiken in unseren Zweigstellen der EU und des UK.
      3. ISO-Ausschuss: Täglicher Betrieb und Aufrechterhaltung des ISMS. Umsetzung entsprechender Richtlinien und Verfahren und Gewährleistung der Einhaltung durch das Personal. Management von Abhilfe- und Verbesserungsmaßnahmen sowie Risiken und den Umgang mit diesen.
      4. Innenrevision: Diese Personen haben den empfohlenen Kurs für die Innenrevision nach ISO 27001 besucht und sind als solche für die Durchführung aller internen Audits gemäß dem Auditprogramm verantwortlich.
      5. Vorstand für die Bereiche ISMS und GDPR/DSGVO: Ansprechpartner für den ISO-Ausschuss und den Vorstand der CitNOW Group. Verantwortlich für die Unterzeichnung neuer Richtlinien und Verfahren im Rahmen der ISO und Sicherstellung, dass wir auf unsere KPIs hinarbeiten. Außerdem ist er für die Freigabe der Risikoübernahme gemäß unserer Risikomethodik verantwortlich.
      6. Datenschutzbeauftragter (DSB): Verantwortlich für die Sicherstellung, dass die CitNOW Group alle Aspekte der GDPR/DSGVO-Gesetzgebung erfüllt, sowohl im Vereinigten Königreich als auch in der EU.
      7. EU-Beauftragter: Unser ernannter EU-Beauftragter in Bezug auf die EU-DSGVO. Verantwortlich für die Zusammenarbeit mit den EU-Aufsichtsbehörden in Bezug auf die EU-DSGVO und für die Zusammenarbeit mit den betroffenen Personen in der EU.
      8. GDPR/DSGVO Champions: Täglicher Kontakt für GDPR/DSGVO-Problematiken innerhalb des Unternehmens. Sorgt für die Aufrechterhaltung aktiver Richtlinien, wie z. B. das Verzeichnis von Verarbeitungstätigkeiten (Artikel 30), das Register der Datenschutzverletzungen usw. Sind außerdem für die Pflege des Datenschutzhinweises verantwortlich und stellen sicher, dass wir unsere Pflichten gegenüber den betroffenen Personen und Kunden tagtäglich einhalten.
    2. Aufgabentrennung: Die Aufgabentrennung dient dazu, sicherzustellen, dass widersprüchliche Zuständigkeiten nicht ein und derselben Person zugewiesen werden, und um zu verhindern, dass eine einzelne Person unbefugt oder unentdeckt auf Datensysteme zugreifen, sie verändern oder nutzen kann.
    3. Informationen über Bedrohungen: Um potenzielle Bedrohungen und Schwachstellen zu erkennen, die sich auf die Informationssicherheit auswirken können, erfassen und analysieren wir Informationen zu Bedrohungen aus bekannten Quellen. Dadurch wird sichergestellt, dass wir uns der Bedrohungen, die einen Einfluss auf uns haben können, bewusst sind und bei Bedarf die entsprechenden Maßnahmen ergreifen können. Alle Informationen über Bedrohungen, die sich auf das Unternehmen auswirken könnten, werden im Risikoregister erfasst und gemäß unserer Methodik zum Umgang mit Risiken behandelt.
    4. Informationssicherheit im Projektmanagement: Die Produktabteilungen der Gruppe folgen einem produktbezogenen Workflow, der neben der Durchführung von Risikobewertungen auch vorschreibt, entsprechende Compliance-Prüfungen schon in den frühen Phasen des Projekts einzubeziehen. Sollte ein Projekt Auswirkungen auf die Privatsphäre unserer Kunden, Mitarbeiter oder Verbraucher haben, sind unsere Verfahren zur Datenschutz-Folgenabschätzung einzuhalten. Sind an einem Projekt Dritte beteiligt, wird auch das Sicherheitsverfahren in Bezug auf Lieferanten befolgt.
    5. Inventarisierung von Informationen und anderen Datensystemen: Wir nutzen ein Verfahren zum Tracking von Datenbeständen (Information Asset Inventory Tracker) und sowie von physischen Datenverarbeitungssystemen (Physical Asset Tracker), mit denen wir unsere Daten während ihres gesamten Lebenszyklus überwachen. Die Personen, die für die betreffenden Systeme verantwortlich sind, sind auch für die ordnungsgemäße Verwaltung dieser während des gesamten Lebenszyklus und für den Schutz in Übereinstimmung mit der Klassifizierung von Informationen verantwortlich. Bei Beendigung des Arbeitsverhältnisses oder des Vertrages mit einem Dritten müssen alle Datenbestände und -systeme der CitNOW Group an die CitNOW Group zurückgegeben werden.
    6. Akzeptable Nutzung von Informationen und anderen damit verbundenen Datensystemen: Die CitNOW Group hat eine Richtlinie zur akzeptablen Nutzung festgelegt, die Regeln zur Nutzung von Informations- und datenverarbeitenden Systemen des Unternehmens enthält. Die Richtlinie betont die verantwortungsvolle Nutzung betreffender Informationen für geschäftliche Zwecke, verbietet unbefugte Aktivitäten und gewährleistet die Datensicherheit. Die Mitarbeiter müssen die Leitlinien für Software-Updates, Internetnutzung, E-Mail-Kommunikation und die Meldung von Vorfällen befolgen.
    7. Umgang mit Datensystemen: Nach Möglichkeit vermeidet die CitNOW Group die Erstellung von papierbasierten Daten und versucht, nur digitale Informationen zu verwenden. Digitale Informationen werden durch Maßnahmen wie Zugangskontrollen vor unberechtigtem Zugriff geschützt.
    8. Klassifizierung und Kennzeichnung von Informationen: Die CitNOW Group hat im Rahmen der „Information Classification Matrix“ drei Vertraulichkeitsstufen definiert (vertraulich, öffentlich und intern). Alle Unterlagen müssen deutlich mit dem entsprechenden Vertraulichkeitsvermerk versehen sein, und als „vertraulich“ eingestuften Informationen muss eine Liste der befugten Personen beigefügt sein.
    9. Übermittlung von Informationen: Die CitNOW Group hat eine Richtlinie zur Übermittlung von Informationen festgelegt, die sicherstellt, dass alle Übermittlungen von Informationen oder Daten innerhalb der CitNOW Group (ob intern, extern oder an Dritte) gewisse Mindestanforderungen an die Datensicherheit erfüllen. In dieser Richtlinie werden Rollen und Zuständigkeiten, Methoden für eine sichere Übermittlung sowie Leitlinien zum Umgang mit verschiedenen Informationsformaten (einschließlich elektronischer Post, Instant Messaging und externer Speichermedien) beschrieben. Die Richtlinie gilt für alle Mitarbeiter und Dritte und unterstreicht die Bedeutung der Einhaltung von Vorschriften (Compliance) und der ordnungsgemäßen Klassifizierung von Informationen.
    10. Zugangskontrolle: Die CitNOW Group verfügt über eine Richtlinie zur Zugangskontrolle, die Regeln für den Zugang zu Systemen, Geräten, Einrichtungen und Informationen auf Grundlage der jeweiligen Geschäfts- und Sicherheitsanforderungen festlegt. Der Zugang erfolgt nach den Grundsätzen „Deny-by-default“ und „Need-to-know“. Die rollenbasierte Zugriffskontrolle (Role-Based Access Control; RBAC) folgt dem Prinzip der minimalen Berechtigung („Least Privilege“) und die Zugriffsrechte werden jährlich überprüft. Die IT-Abteilung kontrolliert den Netzwerkzugang und gewährt diesen nur im Bedarfsfall.
    11. Benutzerverantwortung und Passwortverwaltung: Alle Benutzer der Systeme der CitNOW Group müssen über eine eindeutige Benutzerkennung verfügen und sich mit einem Passwort authentifizieren. Passwörter sind vertraulich zu behandeln und dürfen in keiner Weise (mündlich, schriftlich, elektronisch usw.) weitergegeben oder im Informationssystem gespeichert werden, es sei denn, sie befinden sich in einem autorisierten Passwort-Safe (oder Tresor). Die Benutzer müssen bei der Auswahl und Verwendung von Passwörtern gute Sicherheitsverfahren anwenden und die in der Passwortrichtlinie festgelegten Verpflichtungen einhalten.
    12. Verwaltung des Benutzerzugangs: Die technische Umsetzung der Zuweisung bzw. Aufhebung von grundsätzlichen Zugangsrechten für Mitarbeiter der CitNOW Group erfolgt durch die IT-Abteilung und die Personalabteilung. Die technische Umsetzung der Zuweisung oder Aufhebung von Zugangsrechten erfolgt durch die Systemverantwortlichen. Die Trennung von Aufgaben und die Trennung von privilegierten von nicht privilegierten Konten wird immer dann umgesetzt, wo dies möglich und sinnvoll ist. Die Zugangsrechte werden überwacht und regelmäßig (mindestens jährlich) überprüft.
    13. Informationssicherheit in Lieferantenbeziehungen: Die CitNOW Group verfügt über eine Sicherheitsrichtlinie für Lieferanten. Der Zweck dieser Richtlinie ist es, sicherzustellen, dass der Informationsaustausch mit Dritten so erfolgt, dass der maximale Nutzen aus diesen Beziehungen gezogen werden kann und gleichzeitig die Datensysteme der CitNOW Group vor Missbrauch geschützt werden. Alle Dritten, die Zugang zu Daten oder Informationen haben, verfügen über eine zutreffende und aktuelle Geheimhaltungs- und Vertraulichkeitsvereinbarung. Je nach Art des Lieferanten ist diese entweder im Vertrag oder in der Dienstleistungsvereinbarung enthalten. Darüber hinaus gibt es auch ein internes Verfahren für Dritte, das sicherstellt, dass alle Mitarbeiter bei der Auswahl neuer Lieferanten die richtigen Schritte befolgen, und dass das Compliance-Team in den Prozess eingebunden ist und sicherstellen kann, dass alle Überprüfungen durchgeführt wurden.
    14. Informationssicherheit von Lieferanten: Wir arbeiten nach Möglichkeit mit Lieferanten zusammen, die in Zusammenhang mit den Dienstleistungen, die sie für uns erbringen, bereits die meisten unserer Anforderungen an die Informationssicherheit erfüllen und eine gute Erfolgsbilanz im verantwortungsvollen Umgang mit Fragen der Informationssicherheit aufweisen. Wir wählen führende und vertrauenswürdige Dienstleistungen aus, die für ihre Robustheit, Zuverlässigkeit und Sicherheit bekannt sind, und entscheiden uns nach Möglichkeit für Anbieter, die bereits gemäß der ISO 27001 oder einer gleichwertigen Norm zertifiziert sind.
    15. Überwachung, Überprüfung und Änderungsmanagement von Lieferanten: Alle Lieferanten der CitNOW Group werden einer gründlichen Sicherheitsüberprüfung unterzogen, bevor wir ihre Dienste in Anspruch nehmen. Dieser Überprüfungsprozess erfolgt kontinuierlich, wobei kritische Lieferanten jährlich bewertet und unkritische Lieferanten bei Vertragsende oder vor Vertragsverlängerung überprüft werden. Sollten Änderungen im Hinblick auf die Dienstleistungen von Lieferanten erforderlich sein, berücksichtigen wir mehrere Faktoren, um die besten Ergebnisse zu erzielen. Im Rahmen unserer bewährten Verfahren streben wir an, drei potenzielle Lieferanten auszuwählen und zu bewerten, bevor wir eine endgültige Endscheidung treffen. Die wichtigsten Überlegungen in dieser Hinsicht sind:
      • die Art der Änderung;
      • die Art des betreffenden Lieferanten und die Kritikalität der Geschäftsinformationen, Systeme und Prozesse sowie die Neubewertung der Risiken;
      • die Nähe der Beziehung; und
      • unsere Fähigkeit, Veränderungen bei den betreffenden Lieferanten zu beeinflussen oder zu kontrollieren
    16. Vorfallmanagement im Bereich Informationssicherheit: Verfahren zur Reaktion auf Zwischenfälle werden im Voraus festgelegt, um ein strukturiertes Vorgehen bei Zwischenfällen zu gewährleisten. Legt die Rollen und Zuständigkeiten der Mitarbeiter für die Meldung von und die Reaktion auf Sicherheitsvorfälle(n) fest und schafft einen einheitlichen Rahmen zum Umgang mit entsprechenden Vorfällen. Die erste Aufgabe besteht in der Bewertung des Ereignisses und der Festlegung geeigneter Maßnahmen, um die Gefährdung der Verfügbarkeit, Integrität oder Vertraulichkeit (CIA) von Informationen einzuschränken, das Auftreten weiterer Vorfälle zu verhindern, Störungen zu minimieren und zu ermitteln, wer informiert werden muss (einschließlich interner Mitarbeiter, Kunden, Lieferanten und Aufsichtsbehörden), wobei die Anforderungen der DSGVO und des Data Protection Act 2018 entsprechend zu berücksichtigen sind. Nach der Bewertung wird eine entsprechend benannte Person mit den betroffenen Parteien kommunizieren, um den Vorfall zu klären. Die Reaktionszeit variiert je nach Klassifizierung und Schwere des Vorfalls. Wenn Kunden von einem Vorfall betroffen sind, werden wir sie gemäß den gesetzlichen und vertraglichen Verpflichtungen innerhalb der rechtlich durchsetzbaren Grenzen nach einer gründlichen Untersuchung informieren.
    17. Informationssicherheit bei Störungen: Die CitNOW Group hat verschiedene Szenarien identifiziert, die sich potenziell auf den Geschäftsbetrieb auswirken könnten, und hat die Schritte zur Abschwächung solcher Ereignisse im Rahmen des Plans zur Aufrechterhaltung des Geschäftsbetriebs (Betriebskontinuitätsplan, BKP) dokumentiert. Dieser Plan soll die rechtzeitige Wiederaufnahme der betreffenden Prozesse im Falle einer Störung unterstützen. Der Betriebskontinuitätsplan der CitNOW Group wird regelmäßig getestet und weiterentwickelt, um sicherzustellen, dass er mit unseren Zielen im Bereich Informationssicherheit übereinstimmt und folgende Punkte umfasst:
      • Die Häufigkeit, mit der bestimmte Teile des Plans und ihre Auswirkungen auf die Informationssicherheit getestet werden, richtet sich nach der Wahrscheinlichkeit und den Auswirkungen des Risikos gemäß der Risikobewertung.
      • BKP-Audits werden regelmäßig im Einklang mit dem Auditprogramm geplant.
      • Der Plan selbst wird von den Compliance- und IT-Teams auf seine Relevanz hin überprüft, und etwaige positive Änderungen werden dem Vorstand vorgelegt.
      • Mindestens einmal im Jahr wird eine vollständige Übung zur Geschäftskontinuität durchgeführt, um sicherzustellen, dass sie Teil eines integrierten Ansatzes für das Unternehmen und seine Fähigkeit zur Erreichung seiner Ziele bleibt.
    18. Geltende Rechtsvorschriften: Die geltenden Gesetze, Vorschriften und vertraglichen Anforderungen, die die CitNOW Group betreffen, werden im Rahmen des normalen Geschäftsverlaufs und als Teil der Managementbewertungen ermittelt, dokumentiert, überwacht und überprüft.
    19. Rechte an geistigem Eigentum: Die CitNOW Group basiert ihren Ansatz zum Schutz ihrer eigenen geistigen Eigentumsrechte (Intellectual Property Rights; IPR) auf folgenden Maßnahmen, die auf Grundlage etablierter Richtlinien und Vereinbarungen entwickelt wurden. Zu diesen gehören:
      • Arbeits- und Beschäftigungsbedingungen
      • Löschung von Informationen
      • Vertraulichkeits- oder Geheimhaltungsvereinbarungen
    20. Schutz von Aufzeichnungen: Die Aufzeichnungen der CitNOW Group werden in Übereinstimmung mit gesetzlichen, behördlichen, vertraglichen und geschäftlichen Anforderungen vor Verlust, Zerstörung, Verfälschung, unbefugtem Zugriff und unbefugter Freigabe geschützt. Aufzeichnungen mit gesonderten Anforderungen, werden im Einklang mit dem Anhang zur Datenaufbewahrung aufbewahrt und von den für die Informationen / Datensysteme verantwortlichen Personen verwaltet.
    21. Überprüfung der Informationssicherheit: Die Richtlinien und Verfahren der CitNOW Group zur Informationssicherheit werden im Rahmen unserer Selbstverpflichtung zur kontinuierlichen Verbesserung unserer Dienstleistungen in regelmäßigen Abständen und bei Änderungen von unabhängiger Seite überprüft. Interne Audits werden ebenfalls jährlich im Rahmen des Auditprogramms geplant und das entsprechende Personal für die Durchführung der Audits zugewiesen.
    22. Technische Überprüfung: Schwachstellen- und Penetrationstests werden jährlich für jedes Produkt von einem Fachunternehmen, das auf Penetrationstest spezialisiert ist, durchgeführt, die Ergebnisse werden überprüft und etwaige Schwachstellen behoben.
    23. Betriebsabläufe: Die CitNOW Group verfügt über geeignete Betriebsabläufe, die es der Geschäftsleitung und Abteilungsleitern ermöglicht, selbst zu entscheiden, wo die für sie und ihre Mitarbeiter am besten geeigneten Betriebsabläufe gespeichert und wie diese Unterlagen erstellt werden.
  4. Personal
    1. Personalauswahl: Der globale Ansatz der CitNOW Group zur Rekrutierung und Auswahl von Personal umfasst feste Verfahren, die bei allen Neueinstellungen durchgeführt werden müssen. Dazu gehören unter anderem der Nachweis der Arbeitsfähigkeit und zwei zufriedenstellende Arbeitszeugnisse.
    2. Allgemeine Bedingungen für Arbeitnehmer: Alle neuen Mitarbeiter der CitNOW Group erhalten einen Vertrag, der für das jeweilige Unternehmen, bei dem sie angestellt sind, zum Zeitpunkt des Beschäftigungsangebots gilt. Diese Verträge verpflichten die Mitarbeiter zu strenger Geheimhaltung und Vertraulichkeit und beschreiben die Verpflichtungen zur Einhaltung der Richtlinien zur Informationssicherheit.
    3. Bewusstsein, Weiterbildung und Schulungen im Bereich Informationssicherheit: Bei ihrem Eintritt in das Unternehmen müssen die Mitarbeiter an unseren „DNA“-Schulungen teilnehmen, die sie vollständig in das Unternehmen einführen und die auch Einheiten von Mitgliedern des Sicherheitsteams unseres Unternehmens umfassen. Alle Mitarbeiter werden im Rahmen von E-Learning und Phishing-Kampagnen fortlaufend geschult und sensibilisiert. Mitarbeiter sind zudem angehalten, sich selbst über Schulungen zu informieren und Schulungen zu beantragen, die sie aufgrund ihrer Fertigkeiten für sinnvoll halten.
    4. Richtlinie zu Disziplinarmaßnahmen: Informationssicherheit ist wichtig und eine wiederholte Nichteinhaltung der Richtlinien der CitNOW Group oder die vorsätzliche Verursachung eines größeren Datenverstoßes kann dementsprechend zu disziplinarischen Maßnahmen führen. Im Hinblick auf Mitarbeiter im Vereinigten Königreich wird die Personalabteilung der CitNOW Group, wo dies erforderlich und zutreffend ist, die Regelungen der Richtlinie zu Disziplinarmaßnahmen anwenden. Die Richtlinie zu Disziplinarmaßnahmen gilt für alle Mitarbeiter im Vereinigten Königreich. Aufgrund der unterschiedlichen Gesetzgebung in anderen Märkten wird das HR-Team Disziplinarmaßnahmen dort in Übereinstimmung mit lokalen Gesetzen behandeln.
    5. Kündigung oder Änderung der Beschäftigung: Im Falle der Beendigung des Beschäftigungsverhältnisses werden Fragen wie die Geheimhaltung von und das Verhalten im Umgang mit vertraulichen Informationen nach dem Ausscheiden aus dem Unternehmen gemäß den Beschäftigungsbedingungen geregelt und bei den Austrittsgesprächen mit dem HR-Team abschließend noch einmal mit den Mitarbeitern besprochen. Die Rückgabe der Datenbestände/-systeme der ausscheidenden Mitarbeiter erfolgt im Einklang mit der Richtlinie zur Rückgabe von Datensystemen und die Entfernung aus allen Systemen erfolgt im Einklang mit der Richtlinie zur Zugangskontrolle.
    6. Vertraulichkeits- und Geheimhaltungsvereinbarungen: Vertraulichkeits- und Geheimhaltungsvereinbarungen, die die Anforderungen an den Schutz vertraulicher Informationen durch rechtlich durchsetzbare Bestimmungen erfüllen. Vertraulichkeits- oder Geheimhaltungsvereinbarungen sind für alle externen Parteien oder Mitarbeiter der CitNOW Group anwendbar und erforderlich, wobei entweder eine unterzeichnete Geheimhaltungsvereinbarung vorliegt oder eine vollständige Geheimhaltungsvereinbarung Teil einer Vereinbarung ist.
    7. Meldung von Ereignissen und Schwachstellen im Bereich Informationssicherheit: Jeder Mitarbeiter, Lieferant oder sonstige Dritte, der mit Informationen und/oder Systemen der CitNOW Group oder ihrer Kunden in Kontakt steht, muss Schwachstellen im System, jeden Vorfall oder jedes Ereignis melden, das zu einem möglichen Sicherheitsvorfall führen könnte. Informationen darüber, wie solche Ereignisse oder Schwachstellen gemeldet werden können, sind Teil unserer kontinuierlichen Schulungen im Bereich Informationssicherheit für alle Mitarbeiter der CitNOW Group sowie Teil des Onboardingprozesses für Lieferanten und andere Dritte.
  5. Physische Systeme
    1. Physischer Zutritt: Zu den physischen Sicherheitsmaßnahmen in allen Niederlassungen der CitNOW Group gehören folgende Prozesse:
      • Alle Mitarbeiter benötigen einen Schlüssel (in Form eines Ausweises oder Anhängers), um die Büros zu betreten, es sei denn, das Büro hat einen besetzten Empfang.
      • Alle Besucher müssen sich am Empfang anmelden und immer einen Besucherausweis tragen.
      • Mitarbeiter sind in dieser Hinsicht sensibilisiert und müssen unbekannte Personen innerhalb des Büros ansprechen.
      • Die Türen des Hauptbüros müssen immer geschlossen sein.
      • Alle Fenster und Haupteingangstüren werden am Ende eines jeden Tages verschlossen.
      • Alle Zugänge zu den Büros werden von über entsprechende von den Vermietern bereitgestellten Kameras videoüberwacht.
    2. Sichere Bereiche: Alle Büros der CitNOW Group sind durch die folgenden Kontrollverfahren gesichert:
      • Telekommunikations-, Server- und Netzwerkgeräte werden sicher in abgeschlossenen Kommunikationsräumen aufbewahrt, zu denen nur wenige Mitarbeiter Zugang haben.
      • Postsendungen werden in einen einzigen verschlossenen Briefkasten eingeworfen, der nach Möglichkeit nur für unsere Mitarbeiter zugänglich ist.
      • Sichere Aktenschränke, Schließfächer oder abschließbare Schreibtischschubladen stehen allen Mitarbeitern zur Verfügung.
      • Wird ein gemeinsam genutzter Besprechungsraum über mehrere Tage hinweg benötigt, können die Unterlagen, solange der Raum verschlossen ist und vertrauliche Unterlagen vor den Blicken vorbeilaufender Personen geschützt sind, gegebenenfalls über Nacht dort verbleiben.
      • Alle „vertraulichen“ Besprechungen werden in speziellen Besprechungsräumen abgehalten, um das Risiko zu vermeiden, dass Informationen zu Mitarbeitern im Großraumbüro gelangen, wo sie nicht weitergegeben werden müssen.
      • Mitarbeiter und andere Personen, die Büro- und Besprechungsräume nutzen, werden darauf hingewiesen, dass sie keine „vertraulichen“ Materialien an Orten zurücklassen sollten, an denen sie von anderen eingesehen werden können (z. B. auf Whiteboards).
    3. Richtlinie für eine gesicherte Arbeitsumgebung (Clear Desk / Clear Screen): Vertrauliche oder sensible Informationen, unabhängig davon, ob sie elektronisch oder in Papierform vorliegen, müssen bei längerer Abwesenheit vom Arbeitsplatz und am Ende eines jeden Arbeitstages in geeigneter Weise und in Übereinstimmung mit der Richtlinie zur Klassifizierung von Informationen gesichert werden. Um dies zu ermöglichen, wurden Leitprinzipien erarbeitet, die sowohl nichtelektronische (z. B. manuelle/Papierakten) als auch elektronische Formen von Informationen abdecken. Wenn Mitarbeiter ihren Arbeitsplatz verlassen, müssen sie den Bildschirm mit einem Passwort sperren.
    4. Ausrüstung: Die gesamte CitNOW Group verfügt über die folgenden Kontrollen, um die Sicherheit verwendeter Ausrüstung und Geräte zu gewährleisten.
      • Die CitNOW Group nutzt überwiegend cloud-basierte Dienste von großen, etablierten Anbietern, die für eine gesicherte Leistungserbringung in ihren Rechenzentren verantwortlich sind.
      • Strom- und Telekommunikationskabel, die Daten oder unterstützende Informationsdienste innerhalb aller Büros der CitNOW Group übertragen, sind abhör- und störungssicher und vor Beschädigungen geschützt.
      • Die Verkabelung von Servern und Netzwerkgeräten wird sicher in abgeschlossenen Kommunikationsräumen aufbewahrt, zu denen nur wenige Mitarbeiter Zugang haben, und die gesamte Verkabelung wird gut gewartet.
      • Spezialausrüstungen (wie Brandschutzausrüstungen) werden entsprechend den Wartungsintervallen und Spezifikationen gewartet.
    5. Speichermedien: Die Mitarbeiter der CitNOW Group dürfen auf ihren Arbeitsrechnern nur die vom Unternehmen zur Verfügung gestellten und von der IT-Abteilung ausgegebenen Wechselmedien verwenden. Diese Medien dürfen nicht an Computer angeschlossen oder auf Computern verwendet werden, die sich nicht im Besitz der CitNOW Group befinden oder von ihr gemietet wurden, es sei denn, die IT-Abteilung hat dies ausdrücklich genehmigt. Alle auf Datensystemen gespeicherten geschäftlichen oder personenbezogenen Daten müssen je nach Sensibilität der Daten unter Verwendung entsprechend zugelassener Technologien sicher gelöscht werden. Die CitNOW Group stellt sicher, dass alle Datensysteme über autorisierte Entsorgungsunternehmen mit einer Zertifizierung gemäß Richtlinie 2012/19/EU über Elektro- und Elektronik-Altgeräte entsorgt werden. Die Mitarbeiter dürfen Geräte des Unternehmens (wie z. B. Laptops) außerhalb des Firmengeländes mitnehmen, ohne dass dies vorher genehmigt oder verzeichnet werden muss, vorausgesetzt, dass alle Sicherheitsrichtlinien zum Schutz von Datensystemen zu jeder Zeit eingehalten werden.
  6. Technologische Systeme
    1. Schadsoftware: Durch den Einsatz von Antiviren-Software auf den Geräten der Mitarbeiter wird ein Großteil der gängigen Malware erkannt und beseitigt. Wir verwenden bekannte und weithin vertrauenswürdige Produkte, um das Risiko, dass ein Benutzer auf Malware stößt, zu minimieren. In allen Fällen, in denen Anti-Malware-Software installiert ist:
      • muss die Software regelmäßig über die automatische Aktualisierungsfunktion der Software aktualisiert werden;
      • müssen Malware-Scans durchgeführt werden, wenn auf Dateien zugegriffen wird.
    2. Management von Schwachstellen: Die CitNOW Group führt regelmäßig Schwachstellenprüfungen und jährlich Penetrationstests durch, um nach Schwachstellen zu suchen, die zuvor nicht erkannt wurden. Wird eine Schwachstelle erkannt, wird sie unabhängig von der Quelle vom Compliance-Team, dem CIO, dem CTO und anderen wichtigen Beteiligten geprüft. Sollten zur Behebung einer Schwachstelle Maßnahmen erforderlich sein, werden diese je nach Art der Schwachstelle sofort ergriffen oder es wird ein entsprechender Termin für diese Maßnahmen zu einem bestimmten Datum festgelegt.
    3. Löschung von Informationen: Durch den Einsatz von weltweit führenden Data Warehouses kann die CitNOW Group ein Hochverfügbarkeits- und Sicherheitskonzept gewährleisten. Unsere Datenbanken enthalten persönlich identifizierbare Informationen (Personally Identifiable Information; PPI) von Kunden und Verbrauchern (definiert in Artikel 6 in Übereinstimmung mit dem Data Protection Act 2018). Für die Löschung von PII aus unseren Datenbanken verwenden wir Anonymisierungskonzepte und löschen diese nach einem bestimmten Zeitraum dann vollständig. Entfernung von PII aus unseren Datenbanken:

      Bewahren Sie Protokolle auf, aus denen hervorgeht, dass für jede Löschung folgende Angaben gemacht werden:
      • Wer
      • Was wurde gelöscht
      • Wann
      • Durch wen genehmigt
    4. Verhinderung von Datenlecks: Die CitNOW Group hat Techniken zur Verhinderung von Datenverlusten implementiert, die uns dabei helfen, sicherzustellen, dass unsere sensiblen Informationen korrekt abgerufen und verwendet werden und nicht von unbekannten oder anonymen Nutzern abgerufen werden können. Dies erfolgt durch:
      • die Identifizierung schützenswerter Daten, z. B. durch Klassifizierung;
      • die Festlegung, wer Zugang zu welchen Informationen hat und wann diese abgerufen werden können;
      • die Sicherstellung, dass der Dienstleister über einen Mechanismus verfügt, der kontrolliert und überwacht, wie, wann und auf welche Daten zugegriffen wird, und der die Informationen vor unbefugter Nutzung, Verfielfältigung und Verbreitung schützt;
      • die Kontrolle über den Informationsaustausch mit Außenstehenden oder Dritten;
      • die Sensibilisierung des Personals für die Notwendigkeit, Empfänger zu überprüfen und Informationen zu klassifizieren (durch Sensibilisierung für das Thema Informationssicherheit, Aufklärung und Schulungen);
      • die Ergreifung von Maßnahmen zum Data Masking, wo dies angebracht ist.
    5. Datensicherung (Backups): Innerhalb der CitNOW Group werden regelmäßig Datensicherungen aller geschäftskritischen Systeme durchgeführt, wobei sowohl Cloud- als auch lokale Backups verwendet werden. Es wurden Richtlinien zur Datensicherung erstellt, um die Anforderungen und Aufbewahrungsfristen für die Sicherung von Informationen, Software und Systemen in jedem Unternehmen zu definieren.
    6. Verfügbarkeit von Einrichtungen zur Informationsverarbeitung: Die CitNOW Group nutzt überwiegend cloud-basierte Dienste für die Durchführung ihrer Arbeit. Diese Systeme verfügen über eine inhärente Redundanz, die in ihre hochverfügbaren, resilienten Architekturen integriert ist.
    7. Protokollierung und Überwachung: Die CitNOW Group führt Ereignisprotokolle für die Produkte aller Einrichtungen über verschiedene Überwachungssoftware durch. Die Protokolle werden nach Bedarf abgerufen und enthalten Informationen wie z. B. Logging-Versuche von Benutzern und Fehler in den Anwendungen. Alle Protokollierungsdaten sind nur für Benutzer mit den entsprechenden Berechtigungen zugänglich; die Benutzer müssen über ein Konto innerhalb des jeweiligen Systems mit entsprechenden Berechtigungen verfügen.
    8. Kontrolle der Software: Innerhalb der CitNOW Group gibt es mehrere Maßnahmen, um Änderungen an der Software der Betriebssysteme zu kontrollieren. Alle Änderungen an der Betriebssoftware werden in Übereinstimmung mit der Richtlinie zum Änderungsmanagement verwaltet und berücksichtigen die geschäftlichen Anforderungen für die Änderung selbst sowie den Sicherheitsaspekt der Änderung.
    9. Netzwerksicherheit: Die internen Netzwerke werden von der IT-Abteilung verwaltet. Die IT-Abteilung ist für die Wartung und Aktualisierung aller Netzwerkaktivitäten zuständig. Da wir in erster Linie cloud-basierte Dienste nutzen, liegt die Sicherheit von Netzwerkdiensten in erster Linie in der Verantwortung der Anbieter der betreffenden Cloud-Dienste. Für alle internet- und cloud-basierten Dienste gilt eine strenge SLA-Vereinbarung zwischen der CitNOW Group und dem Anbieter. Jeder Zugang zu den Servern oder Systemen der CitNOW Group wird durch Authentifizierung verwaltet. Für Gäste stehen Gastnetzwerke ohne Zugang zu den Kernsystemen zur Verfügung.
    10. Verwendung von Kryptographie: Die CitNOW Group verfügt über eine Kryptographie-Richtlinie, die unsere Herangehensweise an die Verwendung von kryptographischen Kontrollen beschreibt. Dadurch wird sichergestellt, dass das Unternehmen die höchstmöglichen Verschlüsselungsstandards einhält. Alle Personen innerhalb der CitNOW Group sind dafür verantwortlich, dass interne/vertrauliche Daten verschlüsselt werden, bevor sie die Räumlichkeiten des Unternehmens verlassen. Key management Considerations (Überlegungen zur Schlüsselverwaltung) beschreibt die Anforderungen an die Verwaltung kryptografischer Schlüssel während ihres gesamten Lebenszyklus, einschließlich der Erzeugung, Speicherung, Archivierung, Abfrage, Verteilung, Ausmusterung und Vernichtung von Schlüsseln. Die kryptographischen Algorithmen, Schlüssellängen und Prozesse zur Verwendung sollten nach bewährten Verfahren ausgewählt werden.
    11. Richtlinie für sichere Entwicklungen: Die Richtlinie spiegelt unseren Ansatz zur sicheren Entwicklung unserer Dienste, Produkte und Websites wider und gilt für alle Entwicklungsteams. Sichere Programmierstandards (z. B. Codierung) werden berücksichtigt und befolgt.
    12. Abnahmetests: Alle Änderungen werden getestet, um die Sicherheit, Robustheit, Korrektheit und Leistung der betreffenden Anwendung zu gewährleisten. Abnahmetests gehören für unsere Entwickler im Rahmen unseres Bereitstellungszyklus zur Standardpraxis; alle neuen Funktionen werden vor Bereitstellung einzeln getestet. Wir haben eine Aufgabentrennung etabliert, d. h. in jeder Einrichtung werden Testpersonen ernannt werden, die Teil jedes Entwicklungsteams sind.
    13. Ausgelagerte Entwicklung: Alle Entwickler, die ausgelagerte Entwicklungsarbeiten durchführen, werden geprüft, um sicherzustellen, dass sie entsprechend qualifiziert und kompetent sind. Die jeweiligen Auftragnehmer werden genauso behandelt wie die Entwickler der CitNOW Group, d. h. für ausgelagerte Entwicklungsarbeiten gelten die gleichen Entwicklungsrichtlinien und -kontrollen wie für die interne Entwicklung.
    14. Trennung der Produktumgebungen: Um das Risiko böswilliger Aktivitäten und unbefugter oder versehentlicher Änderungen durch interne Nutzung zu verringern, verfügen alle Produkte innerhalb der CitNOW Group über getrennte Test-/Entwicklungs- und Produktionsumgebungen, die den branchenweit bewährten Praktiken folgen, in deren Rahmen wir innerhalb jeder Einrichtung hauptsächlich die folgenden Umgebungen verwenden:
      • Entwicklung – für Entwicklung
      • Staging/Testing – für interne Tests
      • Produktionsumgebung – Live-Betriebsumgebung
    15. Änderungsmanagement: Wesentliche Änderungen der Organisation, der Geschäftsprozesse sowie der Einrichtungen und Systeme zur Informationsverarbeitung innerhalb der CitNOW Group bedürfen der formellen Prüfung und Zustimmung durch den Vorstand.
    16. Änderungskontrolle: Unsere Verfahren zur Änderungskontrolle in der Entwicklung sind Teil unserer Richtlinie zur Änderungskontrolle. Alle Änderungen am System durchlaufen einen Peer-Code-Review- und Testprozess, der im Einklang mit unseren dokumentierten Verfahren steht.
    17. Schutz von Testdaten: In keinem Produkt der CitNOW Group werden personenbezogene Daten zu Entwicklungs- oder Testzwecken unter normalen Umständen verwendet.
  7. Zusätzliche unterstützende Richtlinien
    1. Die CitNOW Group verfügt über eine Reihe anderer Richtlinien innerhalb des Unternehmens, die unsere Verfahren in Bezug auf Informationssicherheit weiter unterstützen. Dies sind unter anderem:
      • Globale Anti-Korruptionsrichtlinie der Gruppe
      • Richtlinie zu Disziplinarmaßnahmen
      • Globale Whistleblowing-Richtlinie der Gruppe
      • Globale Arbeitsschutzrichtlinie
      • Richtlinie zu moderner Sklaverei
      • Verfahren zur Benachrichtigung bei Verstößen
  8. Zertifizierungen
    1. ISO 27001: Die CitNOW Group Limited ist vom BSI nach ISO 27001 zertifiziert (Zertifizierungsnummer: IS 785456).
    2. Cyber Essentials Plus: CitNOW Group Limited ist durch CyberSmart gemäß der Cyber Essentials Plus Zertifizierung zertifiziert (Zertifizierungsnummer: b5aea281-ec18-4306-9374-beba1ef3fe98)
    3. TISAX: Die ENX Association unterstützt mit TISAX (Trusted Information Security Assessment Exchange) im Auftrag des VDA die gemeinsame Akzeptanz von Informationssicherheitsbewertungen in der Automobilindustrie. Die TISAX-Bewertungen werden von Auditanbietern durchgeführt, die ihre Qualifikation in regelmäßigen Abständen nachweisen. TISAX und die Ergebnisse von TISAX sind nicht für die breite Öffentlichkeit bestimmt.
    4. Für Zype TV Ltd (handelnd unter dem Namen CitNOW) und CitNOW Video GMBH nehmen die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen einen hohen Stellenwert ein. Wir haben umfangreiche Maßnahmen zum Schutz sensibler und vertraulicher Informationen getroffen. Deshalb orientieren wir uns am Fragenkatalog zur Informationssicherheit des Verbandes der Automobilindustrie (VDA ISA). Die Bewertung wurde von einem Auditanbieter durchgeführt, in diesem Fall dem TISAX-Auditanbieter TÜV SÜD GmbH. Das Ergebnis ist ausschließlich über das ENX-Portal abrufbar.
  9. Unterauftragsverarbeiter

    Alle Unterauftragsverarbeiter, die von jedem Unternehmen innerhalb der CitNOW Group eingesetzt werden, sind auf der Seite der Unterauftragsverarbeitung der CitNOW Group-Websiteaufgeführt.

    Diese Unterauftragsverarbeiter können sich im Laufe der Zeit ändern, wenn neue Funktionen und Systemaktualisierungen veröffentlicht werden. Bei der Auswahl neuer Unterauftragsverarbeiter werden entsprechende Maßnahmen ergriffen, um sicherzustellen, dass eine angemessene Sorgfaltspflicht im Hinblick auf Sicherheit und Datenschutz eingehalten wird.

    In Übereinstimmung mit unserem Verfahren für Drittanbieter gewährleistet die CitNOW Group die Sicherheit bei Drittanbietern, indem sie deren Sicherheitsmaßnahmen und Compliance-Standards sorgfältig bewertet. Hierzu schließen wir mit allen Unterauftragsverarbeitern umfassende Datenverarbeitungsverträge ab. Darüber hinaus setzen wir zusätzliche Mechanismen zur sicheren Übermittlung ein, wenn dies zur Einhaltung der Datenschutzbestimmungen erforderlich ist, einschließlich des Abschlusses von Standardvertragsklauseln (SVK), der International Data Transfer Agreements (IDTAs) und/oder der Bewertungen des Übermittlungsrisikos (Transfer Risk Assessments; TRAs).
  10. Hauptsitz CitNOW Group

    Alle Hauptstandorte der CitNOW Group finden Sie auf der Website der CitNOW Group.

Zuletzt aktualisiert: 27 Aug. 2025

« Zurück zur Rechtsseite